1.8 KiB
1.8 KiB
安全检查清单
智能项目定价模型 - M4 测试优化阶段 遵循瑞小美系统技术栈标准与安全规范
1. API Key 管理
- 未在代码中硬编码 API Key
- 通过
shared_backend.AIService调用 AI 服务 - API Key 从门户系统统一获取
.env文件在.gitignore中排除
2. 输入验证
- 使用 Pydantic 进行请求参数验证
- 添加 SQL 注入检测
- 添加 XSS 检测
- 限制请求数据嵌套深度
3. 身份认证
- 集成 OAuth 认证(待 M5 部署阶段完成)
- 预留认证中间件接口
- API 路由支持权限控制
4. 速率限制
- 实现请求速率限制中间件
- AI 接口有特殊限制(10 次/分钟)
- 默认限制 100 次/分钟
5. 安全响应头
- X-XSS-Protection
- X-Content-Type-Options
- X-Frame-Options
- Content-Security-Policy
6. 数据保护
- 敏感数据使用 DECIMAL 类型存储
- 数据库连接使用连接池
- 支持敏感字段脱敏(待实现具体业务)
7. 日志审计
- 实现审计日志记录器
- 记录敏感操作
- 日志格式为 JSON(便于分析)
8. 错误处理
- 统一错误响应格式
- 生产环境不暴露内部错误详情
- 错误码规范化
9. 依赖安全
- 使用固定版本的依赖
- 定期检查依赖漏洞(建议使用
pip-audit)
10. 部署安全
- Docker 容器使用非 root 用户(待验证)
- 只暴露必要端口(Nginx 80/443)
- 配置健康检查
- 配置资源限制
安全测试命令
# 运行安全相关测试
pytest tests/ -m "security" -v
# 检查依赖漏洞
pip install pip-audit
pip-audit
# 检查代码安全问题
pip install bandit
bandit -r app/
瑞小美技术团队 · 2026-01-20